面向数字取证专家的一线图像数据检索

作者：Andrei Loktev，Konstantin Chistyakov

本文概述了取证专家和急救人员为何以及如何从提供图像数据检索的工具中受益。所审查的产品是用于数据检索和映像装载的一线工具，因为如果不先装载映像，就无法检索数据。此外，能够在任何操作系统下读取这些数据，无论原始文件系统格式如何，都是额外的价值。

取证图像是用于作为证据的硬盘驱动器或其他数字媒体的完整副本。取证映像通常包括文件、未分配的空间、松弛空间和引导记录。取证数据，例如已删除的文件，文件碎片或任何隐藏数据，都可以在松弛或未分配的空间中找到。如果使用清理软件完全擦除驱动器上的任何信息痕迹，则法医检查员不太可能成功检索任何数据。

检索信息的另一个困难是，如果将正在调查的数字媒体连接到常规操作系统（OS），它将不可逆转地损坏。标准操作系统配置在检测到后立即激活设备，挂载文件系统并更改其内容，甚至无需通知用户。例如，Windows 可能会自动更改文件属性中的时间戳、在回收站中创建隐藏文件夹或保存配置数据。因此，必须仔细选择用于创建取证图像及其后续深入分析的正确技术。

无论是从硬盘驱动器还是 SSD 装载映像，都必须以完全相同的方式对映像，而不会遇到任何困难。从 SSD 驱动器创建的映像仍将表示映像时所有数据的快照。

百诺肯软件的图像贴实器所做的事情

从本质上讲，图像贴片机允许存储，安装和验证各种格式的图像的完整性。

Paragon软件当前版本的映像贴装器允许您使用“块贴装器”驱动程序和映像MGM库将上述类型的映像作为标准块设备（磁盘）挂载到操作系统Windows下，该库处理映像文件并提供读/写功能以访问存储在映像上的数据。这是通过在完全控制读写模式的系统中创建虚拟磁盘/磁盘设备来实现的。因此，标准视窗组件和百诺肯软件产品完全认可已挂载的磁盘：适用于视窗的 APFS、适用于视窗的 Linux 文件系统和适用于视窗的 HFS+。

但是，为了解决取证问题，这可能还不够，因为在将标准操作系统访问请求映射到文件及其属性到用于处理 UFS 文件系统的引擎的内部功能时，丢失了有关文件系统的其他信息。数据（证据）可能被隐藏或丢失的另一个最常见的选项是磁盘上未使用的位置。这些位置可由映像安装器在已安装的块设备上使用。

为了在不丢失映射数据的情况下提供有关文件系统的完整信息，Paragon软件组实施了以下体系结构：

映像 MGM 组件提供对映像文件内容和有关映像的其他信息的软件读/写访问权限。该模块还负责识别取证元数据及其映射，并检查图像的完整性。它不仅在Paragon软件的映像安装程序中成功使用，而且在创建备份时也在硬盘管理器（另一个软件工具）中成功使用。

FDisk 库旨在分析磁盘布局并提供有关它的信息以及对磁盘各个分区的读/写访问权限。此组件支持解析 MBR、GPT 和标准 LVM，包括位于多个物理磁盘上。该库已成功用于百诺肯软件的Windows Linux文件系统，百诺肯软件的Windows APFS，百诺肯软件的Windows ReFS和存储SDK产品。

UFS 是识别文件系统、解析其结构并为其提供数据和元数据的主要组件。此库具有适用于所有受支持的文件系统（防伪系统、高频 +、分机 2、分机3、分机4、断续器、超控硅、重积、防盗、胖等）的单一接口。此接口还提供了对文件系统独特功能的访问，例如，能够挂载所需的 APFS 检查点和子卷，以及在挂载加密卷时传递密码。这样，您就可以访问任何受支持和识别的文件系统的用户数据和内部数据。

GUI 和 CLI 为最终用户提供了用于访问所检查文件系统的图形和控制台界面。例如，在 UFS 中挂载卷后，可以访问该卷的序列号、有关可用和已占用群集的数据及其大小。对于文件系统对象（如文件和目录），您可以访问文件的数据和元数据。

安装和验证的取证图像可用作调查的证据。映像装载程序的主要功能是它能够装载虚拟映像，就好像您真正连接到用户的计算机一样。它允许您完全访问磁盘的内容，并将其他非取证工具连接到任何其他应用程序或系统。当映像包含操作系统无法识别的文件系统或其他技术时，这一点尤其重要。例如，映像装载程序可以与适用于 Windows 的 APFS 结合使用，并允许对 Windows 上的 APFS 卷进行完全访问。

文件系统链接技术可实现跨平台兼容性

取证工具通常用于在特定操作系统中工作，例如Mac OSX的麦金塔证据收集和分析（MEGA）或用于Linux分区图像分析的取证自动关联引擎（FACE）。

但是，还有另一种方法。如果正在调查的卷或文件是使用苹果或 Linux 操作系统格式化的，该怎么办？映像贴装器与专有文件系统驱动程序的集成，可在 Windows 操作系统下与 Linux 和 APFS 格式的驱动器实现平稳的高性能操作。

文件系统链接驱动程序和图像贴装器的串联允许法医专家直接在Windows PC上即时访问和写入APFS，extFS甚至ReFS格式的硬盘驱动器，固态驱动器或闪存驱动器。因此，无需为每个操作系统使用单独的工具。

图像贴装机是一种工具，使数字取证专家能够轻松安装磁盘映像并访问采集的图像。用于安装取证图像的工具可用作独立软件或集成到更复杂的数据分析解决方案中的组件。

审核编辑：郭婷